Fuites et collecte de données : TousAntiCovid piétine la vie privée

Contrairement aux garanties avancées par le gouvernement à plusieurs reprises, l'application TousAntiCovid a les moyens de savoir qui vous êtes, où vous vous trouvez et qui vous fréquentez.

Ce n’est pas FranceSoir qui le dit, mais trois chercheurs qui ont analysé le système de collecte de statistiques intégré à l’application et qui est activé par défaut pour tous les utilisateurs depuis juin. Leur étude, que vous trouverez ici, pointe un danger pour la vie privée et de possibles fuites de données.

L'observateur attentif s'en étonnera un peu puisque le cabinet de Cédric O l'avait affirmé à BFMTV le 9 juin au sujet de TousAntiCovid et du Pass Sanitaire : tout est fait pour « protéger au mieux la vie privée des utilisateurs », et même mieux : « Nous avons toujours agi pour minimiser la remontée d’informations. » Toujours !

Théorie vs. Macronie

Donc en théorie tout va bien, sauf qu'on ne vit pas en théorie mais en Macronie, et que l’analyse de nos chercheurs infirme largement les propos du gouvernement :  « Malheureusement, la collecte de statistiques contredit le principe de minimisation des données et met en danger les propriétés de sécurité et de protection de la vie privée offertes par les protocoles de traçage de contact ROBERT (traçage Bluetooth) et Cléa (traçage par QR-codes de lieux) »

Ces deux protocoles sont censés être totalement sécurisés, c’est même leur raison d’être, et pourtant « les statistiques incluent un journal d'événement très détaillé, qui enregistre la plupart des actions faites par l’utilisateur, avec un horodatage précis. »

C’est en fait en recoupant les informations provenant notamment de ces deux protocoles (par exemple quand/si ils sont sollicités ou non), ou en mettant en  « correspondance les différentes sources de données qui devraient être indépendantes » que le système peut déduire un certain nombre de données concernant un utilisateur, notamment son nom, son prénom ou sa date de naissance en associant « un identifiant d'application (UUID) à une identité réelle. »

Pince-mi et Pince-moi sont dans un bateau

À ces informations d'identification s'ajouteront des données médicales censément privées comme le résultat d'un test et le statut vaccinal d'une personne, ou encore... ses relations sociales ! En recoupant les indications d'heure et de localisation où sa présence a été enregistrée avec les indications d'heure et de localisation d'autres personnes. Pour faire simple, si vous êtes au bistrot au même moment que Bébert le lundi, et à la piscine au même moment que Bébert le mardi, il y a de fortes chances pour que vous connaissiez Bébert.  

Bonne nouvelle, une parade existe : la protection la plus radicale consiste à supprimer purement et simplement l’appli TousAntiCovid de votre téléphone. Pas belle la vie ?

Mais si par hasard vous tenez à avoir dans votre smartphone cette application trop curieuse (et trop bavarde), vous avez aussi la possibilité de désactiver la collecte de statistiques en allant dans les Paramètres de l’application, puis de chercher la case « Statistiques et mesure d’audience » pour la décocher. Il est aussi possible ici de Supprimer ses données enregistrées en pressant le bouton du même nom.

On rappellera en guise de conclusion cette note des auteurs de l'analyse :

« ce système de collecte est activé par défaut, le consentement de l'utilisateur n'est pas demandé et la politique de confidentialité de l'application n'indique pas la nature exacte et réelle du traitement.»

Transparence et confiance, les deux mamelles du pouvoir en place.